EF Core执行原生SQL最安全方式是FromSqlRaw(查数据映射实体)和ExecuteSqlRaw(增删改无返回),必须参数化防注入,禁用字符串拼接,动态条件优先用LINQ,表名列名等SQL片段不可插值。
EF Core 中执行原生 SQL 语句,最常用、最安全的方式是使用 FromSqlRaw(配合实体映射)或 ExecuteSqlRaw(用于增删改等无返回结果的操作)。关键不是“能不能写 SQL”,而是“怎么写得安全、可维护、不被注入”。
FromSqlRaw:查询数据并映射到实体
适用于需要从数据库查出数据,并映射为已定义的实体类型(如 Blog、Post)的场景。注意:该方法只支持查询,且实体类型必须与 SQL 返回的列名、类型严格匹配(大小写敏感,建议用 PascalCase 列别名)。
示例:查询所有活跃博客
var blogs = context.Blogs
.FromSqlRaw("SELECT * FROM Blogs WHERE IsActive = {0}", true)
.ToList();
- 参数用
{0}占位,EF Core 自动处理参数化,防止 SQL 注入 - 不能用字符串拼接(如
"WHERE IsActive = " + isActive),否则有注入风险 - SQL 必须返回与
Blogs实体对应的全部或子集字段;若字段不全,未映射属性为默认值(null 或 0) - 不支持复杂 JOIN 后映射到多个实体,如需多表结果,建议用
FromSqlRaw+ 自定义 DTO 类(需配合AsEnumerable()或AsNoTracking()后手动构造)
ExecuteSqlRaw:执行 INSERT/UPDATE/DELETE 等无返回操作
当你不需要返回实体,只执行修改类 SQL(比如批量更新、清理数据、调用存储过程),用这个更合适。
var rowsAffected = context.Database
.ExecuteSqlRaw("UPDATE Posts SET IsPublished = {0} WHERE BlogId = {1}", true, 5);
- 返回影响行数(
int),可用于判断是否成功执行 - 同样支持参数化,禁止字符串拼接
- 不会触发 EF 的变更跟踪,也不会更新本地 DbSet 缓存 —— 执行完记得手动
Reload或重新查询
安全要点:永远参数化,绝不拼接
错误示范(危险!):
// ❌ 绝对不要这样写
string title = Request.Query["title"];
var posts = context.Posts.FromSqlRaw($"SELECT * FROM Posts WHERE Title LIKE '%{title}%'");
正确做法(参数化 + 通配符由代码控制):
// ✅ 安全写法
string title = Request.Query["title"];
var posts = context.Posts
.FromSqlRaw("SELECT * FROM Posts WHERE Title LIKE {0}", $"%{title}%")
.ToList();
- 占位符只放参数值,不放 SQL 片段(如不能传
"AND Status = 1"这种条件片段) - 动态 WHERE 条件多时,优先用 LINQ 构建表达式树;实在要用原生 SQL,可借助
StringBuilder拼接完整 SQL,但所有用户输入仍必须走{0}参数绑定
补充:FromSqlInterpolated(更简洁的插值写法)
EF Core 5+ 支持字符串插值语法,底层自动转为参数化,写起来更自然:
string keyword = "EF";
var blogs = context.Blogs
.FromSqlInterpolated($"SELECT * FROM Blogs WHERE Name LIKE { $"%{keyword}%" }")
.ToList();
- 变量用
{variable}包裹,EF Core 自动识别并参数化 - 仍不支持插值 SQL 关键字或表名/列名 —— 这些必须硬编码或通过白名单校验后拼接
- 和
FromSqlRaw行为一致,只是语法糖
基本上就这些。核心就一条:用好参数占位,别碰字符串拼接。原生 SQL 是利器,但交到 EF Core 手里,就得按它的规则来。
